风险导向内控审计在电网企业的实践应用

陈冬梅 邓昕 于春洋 王琳 孟蕾 洪祥超

[摘要]将风险导向审计思想应用于内部控制审计，利用内控成熟度评估辅助开展内部控制审计，构建内部控制审计体系和实施路径，指引审计人员快速定位高风险内控领域与流程，有助于审计资源分配和审计效率的提高，进一步提升企业内控能力，规范企业管理。

[关键词]内部控制   内控审计   风险导向   成熟度

电网企业L公司积极响应国家要求和上级单位管控需求，落实公司转型发展需要，结合内外部形势变化，探索内部控制审计新模式和新方法，推动内控审计工作有序开展，为公司战略目标实现提供有力支撑。

一、成熟度模型应用于风险导向内控审计的可行性分析

（一）成熟度模型

成熟度模型使用“成熟度”的概念来描述组织拥有某种能力的情况。成熟度模型可用于判断被评价对象所达到的水平或所处的发展阶段，目的在于推动被评价对象朝着最佳实务目标持续进步。目前，各行业常用的成熟度模型超过30种，最具影响力的能力成熟度模型是由美国卡耐基梅隆大学软件工程研究所和美国项目管理学会构建发布的能力成熟度模型和组织项目管理成熟度模型。

根据国际内部审计师协会（IIA）发布的《选择、运用和创建成熟度模型：可用于确认和咨询业务的一种工具》，审计人员可在审计工作中有效应用成熟度模型，或在没有可利用模型的情況下创建模型。IIA创建的内部审计能力模型，从服务和内部审计的角色、人员管理、专业实务、业绩管理与责任制、组织关系与文化、治理框架六个方面考查组织的内部审计能力。

（二）内控成熟度与风险导向内控审计的兼容性分析

“内控成熟度”综合反映企业在内部控制体系建设、实施等各方面的情况，可以用来评估企业内控实际状况，包括内部控制的建立有效性和运行有效性。内控成熟度等级代表了企业对实现控制目标的满足程度，等级越高意味着内控制度和措施的健全程度与执行效果越好，本质上体现了企业风险控制能力的综合。

内控成熟度评估是在设定成熟度模型框架的基础上，建立量化评估方法以判断内控关键实践和控制领域的实现情况，确定内控能力成熟度等级，并通过整体和各关键控制领域的得分情况，分析出被审计单位内控体系相对薄弱的方面。通过内控成熟度评估揭示企业运行中可能存在的风险，审计人员可以有针对性地开展内控审计工作，并针对发现的问题和确认的风险点提出相应建议，最终实现提升内部控制能力的目标。

上述分析表明，内控成熟度与风险导向内控审计相互兼容，追求的目标具有一致性，说明把内控成熟度运用于风险导向内控审计是可行的。

二、构建风险导向内控审计体系

（一）内控审计体系基本内涵

结合公司战略部署和落地实施，L公司审计部构建以风险为导向，以内控成熟度评估为基础的“两表三步两维”内控审计体系（简称“232”内控审计体系）。“232”内控审计体系是通过由内控成熟度评估及基础信息采集组成的“2套评估表单”开展审前调研分析，运用风险导向的“审前评估—审计实施—审后处理”的“3步审计法”进行公司内部控制审计，运行“2维评价机制”深度挖掘数据内涵，分析内控管理短板，持续提供整改建议，实现内控审计的风险识别、缺陷认定及闭环整改（见图1）。

（二）“232”内控审计体系主要构建思路

1.以评估表单规范审前评估

历来内控审计实施过程中存在两大难点：一是审计人员对公司各条线业务熟悉程度不一，无法准确判断潜在风险点和确定审计重点;二是集团化企业各分子公司业务和内控流程不一致，全面评估和排查风险存在困难。基于以上两个难点，本体系重新梳理内部控制流程，创新性采用内控成熟度评估理论，以评估表单指引审前评估工作的开展。

（1）内控成熟度评估表

L公司审计部在构建内控成熟度模型作为内控审计体系基础的过程中，充分考虑电网业务特色和“放管服”改革变化，结合国内外风险管理最新理论与实践，梳理公司业务流程及国网现行适用制度，提取电网特色流程（如电网工程管理、电费收取等），针对重大风险领域，调整内控审计关注点及相应指标。

一是清晰的指标结构层次有助于审计人员快速理解审计项目，准确判断潜在风险点，选取恰当审计标准和评价指标，为提高审计效能奠定良好基础。考虑到内部控制系统各要素之间既具有一定的独立性，又相互联系相互影响，将内控成熟度模型分为“面”“线”“段”“点”四个考察层面，具体内容见表1。

二是针对具体事项发生过程中的关键控制点是否设置并执行有效进行相应内控审计评估，并建立相应的评估指标。评估指标分为流程指标和控制指标两类（见图2），“232”内控审计体系中成熟度评估指标采用定性判断的形式，使评估结果易于采集、便于统计，同时适于推广应用。被审计单位相关责任部门对该具体业务或事项进行自我评估，定性判断评估指标的描述与实际情况的吻合度。

由于L公司业务范围广泛、流程复杂，且不同子公司的内部控制管理各有侧重，“232”内控审计体系采用层次分析法设置成熟度指标权重，将同一层级指标重要性进行量化比较，确定同一层次元素相对于上一层次的数量关系与权重，最后对总权重由最高层次进行逐级分配。内控成熟度评价表采用复合式分值统计系统，结合权重理念，设置两类评分，即“标准化评分”与“赋权得分”。标准化得分指对单个二级指标中各阶段（三级指标）的定性评价进行量化整合得到的分数，每个业务流程满分为10分。赋权得分指对全部二级流程的标准化得分进行赋权整合后经扣分机制处理得到的分数，公司整体满分为100分。

（2）基础信息表

尽管已充分考虑电网行业特色及L公司的管理特点等因素，但单纯依赖成熟度评估模型仍然可能无法满足实际内控审计工作的需求。因此，针对内控成熟度框架“定性问题、定量结果”的特点，“232”内控审计体系引入与之互补的基础信息采集表，进一步完善审前评估阶段。引入基础信息采集表，一是可以纳入成熟度评分指标外风险点，更全面评估被审计单位的内部控制情况;二是对收集的定量信息进行数据分析，避免成熟度指标单纯定性判断的弊端;三是便于审计人员快速、深入了解审计对象，基于业务实质开展审计工作。

2.以成熟度评估指导审计实施

成熟度等级从最低级的“混乱级”到最高级的“战略级”，每个等级都有其在内部控制设计、执行及风险防范方面的特征和目标。L公司在开展现场审计工作前，对被审计单位的内部控制成熟度进行评估，审计人员可以快速了解内部控制整体状态，初步判断被审计单位的内部控制风险所在，明晰内控风险水平，以风险为导向确定审计重点，初步指出经营管理能力提升方向。成熟度等级及内控特征对应关系见表2。

通过被审计单位的内控成熟度等级判断内部控制总体情况，结合各二级流程具体得分，审计人员可以聚焦内控风险水平较高的领域，关注对公司经营管理具有重大影响的核心流程，或者酌情增加重点流程抽样量。此外，“232”内控审计体系对内控审计评估要点进行细化，完善和优化审计底稿，在审计底稿模板中充分考虑基本信息、抽样原则、涉及系统、检查方法及要点、检查结果和检查依据等要素，设置索引号进行关联，便于审计过程中交叉验证。

L公司审计部充分考虑公司信息系统规划和实施情况，借助现代化技术手段对数据和信息进行收集和处理，提升从ERP、OA、PMS、财务管控、营销系统、电力交易系统等21个专业系统中直接取得审计证据的比例，促进提升审计效率。一是提升审计证据真实性，利用系统关联性减少审计证据被篡改的可能;二是保持审计证据的客观性，相较于传统的访谈、函证等审计方法，信息系统数据分析可以减少主观性判断;三是简化非必要审计项目。例如，已经系统流程固化的步骤可减少现场审计过程的抽样量;四是拓展审计证据渠道，L公司多维精益管理体系的实施加速了公司业财融合进度，信息系统中可反映更多日常管控信息，为内控审计提供了更为丰富的数据信息。

3.以两维评价进行审后处理

立体化的内控审计工作模式可以满足内控审计不同监管频率、不同审计范围和不同分析维度的需求。“232”内控审计体系设置“两维评价机制”对审计结果进行分析，从业务和公司两个维度进行考虑，将两类得分在公司内部流程、多家下属公司之间进行比较，深度挖掘内控能力缺点，明确内控能力提升方向。如有条件获取多期审计数据进行比对，亦可拓展时间维度，丰富内控审计结果的应用。两维评价机制具体解释说明见表3。

三、体系实践应用

根据年度审计计划安排，L公司审计部选取6家下属供电公司开展内部控制审计专项工作，应用“232”内控审计体系，提前判断内控高风险领域与流程，合理配置审计资源，对被审计单位的内部控制情况进行全方位诊断，进一步提高审计监督质量。

（一）审前调研评估

在确定审计对象后，将内控成熟度评估表和基礎信息表下发被审计单位对接部门，并由其组织各专业部门填写。填写完成后，被审计单位对接部门进行初步审核后将数据上报至L公司审计部。审计人员将数据输入内控成熟度评估模型进行分析，初步得出被审计单位的内控成熟度赋权得分和各流程的标准得分，结合基础信息表中上报的内容，对被审计单位的内部控制情况进行整体评估。各被审计单位内控成熟度初步评估结果见表4。

（二）审计现场实施

综合上述评估结果，L公司审计部以内控风险为导向，确定各被审计单位的审计重点，指导现场审计工作。审计人员在流程全覆盖的基础上，对重点流程和相关控制环节增加审计资源投入，检查内部控制设计与执行的有效性。本次内部控制审计专项工作共发现32个内控风险缺陷，其中设计缺陷9个，执行缺陷23个。

1.内部控制设计方面。审计发现的内部控制设计问题主要有：各业务环节衔接不紧密或存在疏漏;内部控制设计未根据公司业务开展和制度情况进行更新，与实际情况有出入造成难以有效实施;内部控制措施内嵌在信息系统中，一人可以履行流程中多重角色。例如，审计人员根据内控成熟度评估结果，有针对性地加大对C供电公司的物资（服务）采购管理流程的审计力度，发现其废旧物资管理流程虽然在ERP系统中设置了四级审核，但未将审批权限与内网电脑MAC地址进行绑定，导致在实际执行中存在一台电脑对多笔业务进行申请、审核和审批的情况，公司资产处置存在风险。

2.内部控制执行方面。审计发现的内部控制执行问题主要有：操作人员对制度流程不熟悉，由于流程较复杂未能严格执行;内部控制措施设计不合理导致执行不到位;部分人员急于处理业务而选择跳过某些控制环节等。例如，审计人员根据内控成熟度评估结果，提高对E供电公司科研管理业务的抽样比例，抽取当年发生的科研项目13项（占比50%），发现存在项目可行性研究不深、项目成果评审流于形式等问题。审计人员针对内控执行方面存在的问题，向相关业务部门及人员下发整改通知书，提出整改要求和整改完成时限。

（三）审后处理

在现场审计工作完成后，L公司审计部人员对现场发现的风险和问题进行汇总，与前期内控成熟度初步评估结果进行交叉验证，对未据实申报的情况进行惩罚性扣分，得出各被审计单位内控成熟度最终得分（总体及各流程）。L公司审计部对纳入本次审计范围的6家供电公司进行综合排名，并将排名、得分等信息在L公司系统内进行通报，形成内部控制方面的良性竞争氛围，促使各供电公司努力提升自身内部控制能力。

四、体系实施效果

风险导向基于内控成熟度的“232”内控审计体系能够帮助审计人员简化审前调查环节，提供清晰明确的审计要点，科学配置审计资源，缩短审计时间，有效缓解审计数据庞大、任务重、时间紧、人力匮乏的窘迫局面，实现准确定位、及时预警，有效确保审计效率提升。审计人员利用成熟度评估整体得分判断被审计单位的内控情况，并通过关键控制领域得分进行对比和判断，抓住被审计单位的内控薄弱环节和高风险环节，有针对性地开展现场工作。与传统内控审计审前资料收集、现场查账、核对实物、查阅相关资料等步骤相比，审计效率提升30%以上，人员资源需求降低40%以上。

通过“232”内控审计体系的建设和应用，L公司进一步适应了新形势下公司业务的变化，增强了内控审计水平，提高了风险防范能力，满足了集团化运作、集约化发展、精益化管理、标准化建设要求，为实现公司建设具有中国特色国际领先的能源互联网企业战略目标提供了具有实践意义的创新管理经验。

（作者单位：国网辽宁省电力有限公司，邮政编码：110004，电子邮箱：1017444894@qq.com）

主要参考文献

田志刚.地方财政内控能力成熟度的测评研究[J].中南财经政法大学学报， 2011（6）：7-11

辛风.成熟度模型在内部审计确认与咨询业务中的运用[J].中国内部审计， 2013（12）：46-48

尤然.基于能力成熟度模型的财务内控成熟度评价体系构建及信托公司财务内部审计侧重初探[J].审计与理财， 2017（1）：37-39